Re: [gentoo-user-de] Eigener, öffentlicher Mailserver, bounce von Gmail

[Bernd Wurst <bernd@bwurst.org>]

[-- Attachment #1: Type: text/plain, Size: 5354 bytes --]

Hallo.

Am Montag, 1. September 2008 schrieb Tobias Hommel:
> > Dieser Check ist sinnlos, der reverse-Lookup muss natürlich *nicht* mit
> > dem MX-Namen übereinstimmen.
> Wenn die andere Seite die Absenderadresse prueft schon.

Nein, so sinnlose checks macht keiner.

Beispiel:

bernd@marvin ~ $ host -t mx gmail.com
gmail.com mail is handled by 50 gsmtp147.google.com.
gmail.com mail is handled by 50 gsmtp183.google.com.
gmail.com mail is handled by 5 gmail-smtp-in.l.google.com.
gmail.com mail is handled by 10 alt1.gmail-smtp-in.l.google.com.
gmail.com mail is handled by 10 alt2.gmail-smtp-in.l.google.com.

gmail.com hat mehrere MX-records. Schauen wir uns mal zwei davon an:


bernd@marvin ~ $ host gsmtp147.google.com.
gsmtp147.google.com has address 209.185.147.27
bernd@marvin ~ $ host 209.185.147.27
Host 27.147.185.209.in-addr.arpa. not found: 3(NXDOMAIN)


bernd@marvin ~ $ host alt1.gmail-smtp-in.l.google.com.
alt1.gmail-smtp-in.l.google.com has address 209.85.201.114
alt1.gmail-smtp-in.l.google.com has address 209.85.201.27
bernd@marvin ~ $ host 209.85.201.114
114.201.85.209.in-addr.arpa domain name pointer wf-in-f114.google.com.
bernd@marvin ~ $ host 209.85.201.27
27.201.85.209.in-addr.arpa domain name pointer wf-in-f27.google.com.


Hier passt nichts zusammen und es ist kein Problem.


> > > Das ist unter anderem einer der Gruende, warum
> > > man keinen Mailserver auf einer dynamischen IP laufen laesst.
> > Nein.
> Wie du siehst doch, sonst wuerde es ja funktionieren. Oder hast du Zugriff
> auf alle Mailserver der Welt um diesen zu sagen, dass sie bitte deine mail
> annehmen sollen?

Darum geht es nicht.

Es geht nur darum, dass eine IP-Adresse in einer RBL bzw. DUL drin ist. Nicht, 
wie der DNS-Server für die Domain oder die IP-Adresse antwortet. Der wird 
noch nichmal gefragt.


> Hm, das lag wohl irgendwie an dem domainnamen, mein Fehler. Trotzdem darf
> er die Leute verhaun, damit er eine statische IP mit reverse DNS bekommt.
> ;)

Wenn er nen Dialup-Zugang hat, hat er vermutlich nen Dialup-Zugang und da ist 
es verständlich, dass er eine IP aus einem Dialup-Pool bekommt.

Fehlende Zwangstrennung macht noch keine statische Verbindung.


> > Das Problem hier ist einfach, dass Google offenbar dynamische IPs
> > gnadenlos blockiert. *DAS* ist der (einzige) Grund, warum man in der
> > heutigen Welt mit einem Mailserver an dynamischer IP keinen Spaß hat.
> Dazu moechte ich eigentlich nur hierauf verweisen, das sagt eigentlich
> alles:
> http://www.arschkrebs.de/postfix/postfix_why_dyndns_does_not_work.shtml

Nein, das sagt genau das was ich sage:
Für das Versenden von Mail ist nur einzig und alleine das Problem existent, 
dass andere diese IP-Bereiche gnadenlos blockieren.
Kein technischer Grund sondern nur das:
| Nowadays, many providers don't accept mail from dynamically assigned IP
| pools 

Beim Empfang gibt es Probleme, die sich durch kurz gewählte TTL minimieren 
lassen. IPs werden auch nicht *umgehend* neu vergeben, das Problem taucht in 
der Praxis also meist gar nicht auf.
Aber um Empfang ging es ja sowieso nicht.


> Nein, siehe oben. Ich weiss, er hat keine Zwangstrennung, aber er laeuft
> halt auf einer dynamischen IP und das moegen andere Mailserver-Betreiber
> nicht.

Eben.
Immer noch kein technischer Grund.


> > Leider ist das ein in vielen Bereichen hochgelobtes Wundermittel gegen
> > Spam, einfach alle dynamischen IPs zu blockieren. Dass es auch andere,
> > mindestens genauso wirkungsvolle Mittel gibt, scheint dabei oft vergessen
> > zu werden.
> Das hochgelobte Wundermittel wohl nicht, aber es sollte doch schon dabei
> behilflich sein den illegalen Mailversand einiger Zombies da draussen zu
> mindern. 

Ja, "behilflich sein" trifft es vielleicht. Kollateralschäden werden in der 
Statistik nicht erfasst weil das ja nur Privatpersonen und kleinste 
Unternehmen sind.


> (Jaja, das geht natuerlich auch mit statischen IPs und so, aber 
> der Grossteil der Bevoelkerung hat doch wohl eher Zugang ueber eine
> dynamische IP.)

Was haben Spam-Zombies mit der Bevölkerung zu tun? Die richtig heftigen 
Spam-Zombies laufen auf schlecht gemaintainten Windows-PCs in irgendwelchen 
Firmen. Oft mit statischer IP. Werden nachts nicht ausgemacht, das hilft den 
Spammern ungemein.

Wir erzwingen mittlerweile einen vernünftigen HELO-Name für einige 
Adressbereiche, auch Dialups. Aber das hält keinen korrekt konfigurierten 
Server davon ab, uns trotzdem Mails zu senden. Er muss nur seinen Hostname 
richtig senden:
  http://wiki.schokokeks.org/E-Mail/Anti-Spam


Aber ja, ich habs aufgegeben, hier Weltverbesserer spielen zu wollen, jeder 
soll machen was er für richtig hält und aussperren mit wem er nicht 
kommunizieren will. 
Es stört mich nur, wenn Server an Dialup-Leitungen immer schlecht geredet 
werden, noch dazu mit nicht existenten technischen Unzulänglichkeiten. Es ist 
technisch nichts schlechtes daran, früher war das sogar der völlig normale 
Weg um Mails zu versenden. Wenn es korrekt konfiguriert ist, scheitert es 
einzig und alleine daran, dass man anhand der IP geblockt wird, bevor man 
sich gegenüber dem anderen Server irgendwie richtig verhalten kann.

Gruß, Bernd

-- 
Don't drink and su.

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 835 bytes --]